A empresa informou que a falha foi explorada em conjunto com outra brecha no sistema operacional da Apple que também já foi corrigida.
O WhatsApp anunciou nesta sexta-feira (29), que corrigiu uma vulnerabilidade de segurança em seus aplicativos para iOS (iPhone) e Mac que vinha sendo explorada para invadir discretamente dispositivos da Apple de “usuários-alvo específicos”.
De acordo com o comunicado da empresa, o problema estava relacionado à falha identificada como CVE-2025-55177, que foi explorada em conjunto com outra brecha no sistema operacional da Apple — corrigida pela companhia na semana passada e catalogada como CVE-2025-43300.
Na ocasião, a Apple havia classificado a falha como parte de um “ataque extremamente sofisticado contra indivíduos específicos”. Agora, ficou claro que dezenas de usuários do WhatsApp foram atingidos por essa combinação de falhas.
Segundo Donncha Ó Cearbhaill, chefe do Laboratório de Segurança da Anistia Internacional, o episódio configura uma “campanha avançada de spyware” que ocorreu nos últimos três meses. Ele destacou ainda que os ataques se tratam de uma exploração de “clique zero”, ou seja, não exigem que a vítima realize nenhuma ação — como abrir links — para que o dispositivo seja comprometido.
Essa cadeia de vulnerabilidades permitia a instalação de códigos maliciosos via WhatsApp, capazes de acessar dados sigilosos do iPhone e do Mac afetados. Ó Cearbhaill compartilhou inclusive um alerta de segurança enviado pela plataforma às pessoas atingidas, no qual o WhatsApp descreve que o ataque foi capaz de “comprometer seu dispositivo e os dados que ele contém, incluindo mensagens”.
Até o momento, não há confirmação sobre os responsáveis pela campanha nem sobre o fornecedor de spyware envolvido.
Em resposta ao site TechCrunch, a porta-voz do WhatsApp, Margarita Franklin, declarou que a falha foi detectada e corrigida “algumas semanas atrás” e que “menos de 200” notificações foram enviadas aos usuários impactados. Ela, no entanto, não comentou se há provas que permitam atribuir os ataques a um grupo ou empresa específica.
Vale lembrar que episódios semelhantes já ocorreram. Em 2019, por exemplo, o WhatsApp acusou o grupo israelense NSO de usar seu software Pegasus para hackear mais de 1.400 contas. Após anos de disputa judicial, um tribunal norte-americano determinou que a NSO deveria indenizar a plataforma em US$ 167 milhões.
Mais recentemente, no início de 2025, o WhatsApp também conseguiu conter outra ofensiva de spyware que visava cerca de 90 pessoas na Itália, entre jornalistas e membros da sociedade civil. Embora o governo italiano tenha negado participação, a fornecedora do software espião, Paragon — suspendeu o acesso do país à sua tecnologia após denúncias de abuso.
